セキュリティ
専門家によれば、実際に使いこなせる知恵さえあれば侵害後の有用なツールになるという
マイクロソフトにとって悪夢のような存在――「Nightmare Eclipse」を名乗る多作なゼロデイ脆弱性ハンターが火曜日、またしても新たなゼロデイを公開しました。攻撃者がユーザーハイブをマウントできてしまう脆弱性で、部分的なエクスプロイトコードも添えられています。
これまでの脆弱性の高度さから、マイクロソフトの元エンジニアで何らかの不満を抱えた人物ではないかと疑われているNightmareEclipseは、7月14日に予告どおり新たなゼロデイを公開しました。しかし、6月に喧伝していた「骨も砕ける」ほどの威力に見合う内容だったかどうかは議論の余地があります。
「LegacyHive」と名付けられたこのゼロデイ・ローカル特権昇格(LPE)脆弱性の概念実証(PoC)コードは、Windowsのユーザーハイブを標的にしています。ユーザーハイブとは、ユーザー固有のデスクトップ設定やアプリケーション設定、環境設定を保存するWindowsレジストリの一部です。
このコードは、Windowsのユーザープロファイルサービスであるprofsvcがハイブを読み込む際の処理の弱点を突くものです。正しく悪用されれば、一般ユーザーであっても他のユーザーのハイブに対して特権的な読み書きアクセスを得られる可能性があります。
Pentest-Tools.comのリードセキュリティ研究者であるMatei Badanoiu氏は、このエクスプロイトはすでに標的環境に足がかりを得ている攻撃者にとっては有用であり得るものの、より完全なシステム侵害を実現するには至らないと指摘しています。
「私が注目したのは、公開された概念実証が実際に示している内容と、完全な侵害に必要となる内容との間にある差です」と同氏はThe Registerに語りました。「LegacyHiveはWindowsユーザープロファイルサービスにおけるローカル特権昇格です。任意のレジストリハイブの読み込みという弱点を悪用することで、一般ユーザーであっても管理者を含む別のユーザーのハイブを自分自身のクラスルートにマウントできてしまいます。
「すでに足がかりを得ている攻撃者にとっては、これは間違いなく有用な手段です。しかし、これに資格情報へのアクセスや永続化の仕組みを組み合わせて『完全な侵害』とするのは、公開されたコードの実力というより野心の域を出ません」
今回のLegacyHive公開は、NightmareEclipseがこれまでに公開してきたものの一部とは異なり、広範な悪用を防ごうとする狙いからか、PoCコードが簡略化されている点が特徴です。
この脆弱性ハンターによれば、profsvcの欠陥を悪用する方法は一つだけではないとのことです。
公開されたPoCは動作させるために追加のユーザー資格情報を必要とし、対象もusrclass.datハイブに限定されています。
NightmareEclipseは、今回公開したものとは異なるオリジナルのPoCでは脆弱性の悪用に追加のユーザー資格情報を必要とせず、usrclass.datハイブ以外にも通用すると述べています。ただし「それをPoCに実装するにはそれなりの知恵が要る」とも付け加えています。
これは、NightmareEclipseがこれまで取ってきた手法からの明確な転換を示しています。
Badanoiu氏がわれわれに指摘したように、NightmareEclipseが以前公開した「BlueHammer」や「RedSun」などは、PoC公開から数日のうちに広範な悪用に発展していました。
しかし今回のLegacyHiveには、完全に動作するPoCもCVE識別番号も付されていません。
それでも、セキュリティ専門家たちはThe Registerに対し、NightmareEclipseがPoCにあえて残した「隙間」があるとしても、能力のある攻撃者ならおそらく信頼性の高いエクスプロイトを構築できるため、セキュリティ実務者は速やかに対応すべきだと述べています。
「脅威インテリジェンスチームには、ある程度の緊急性をもって対応することをお勧めします」と、Huntressのセキュリティオペレーション担当シニアマネージャーであるDray Agha氏は述べています。「Huntressでは、NightmareEclipseが以前公開したLPEおよび防御回避ツールが、公開後まもなく攻撃者やランサムウェアグループによって急速に展開される様子を確認しています。
「こうした過去の経緯を踏まえると、能力のある攻撃者はLegacyHiveのPoCに欠けている部分をリバースエンジニアリングし、短期間のうちに完全に武器化したバージョンを作り上げてくるだろうと予想しています」
公開のタイミング
NightmareEclipseは、完全に動作するPoCを一般公開するというこれまでのアプローチを変えてきたようですが、これはマイクロソフトがこの脆弱性ハンターに対して法的措置を検討していると示唆したことへの反応なのかもしれません。しかし、脆弱性を公開するタイミングが厄介なものであることに変わりはありません。
今回、LegacyHiveの詳細が公開されたのは、マイクロソフトが月例のPatch Tuesdayアップデートを公開した直後のタイミングでした。この月のアップデートには前例のない622件もの修正が含まれていました。
Agha氏は、こうした形で公開のタイミングを合わせることで、パッチが開発されるまでの露出期間が最大化され、マイクロソフトにとってより大きな問題を引き起こすことになると指摘しています。
The Registerはマイクロソフトに対し、LegacyHiveについて、また8月分のパッチ公開前に修正をリリースする予定があるかどうかを問い合わせましたが、直ちに回答は得られませんでした。
NightmareEclipseは、今回の最新ゼロデイが、7月分の修正をすべて適用済みのWindowsマシンに対しても有効に機能すると主張しています。
なお、マイクロソフトは先週、NightmareEclipseが以前公開したゼロデイの一つであるRoguePlanetについて、ひっそりと修正を実施済みです。ただし、その緩和策の詳細について同社は明らかにしていません。®